Trusted Cloud 控制台所需的 IAM 權限

以下文章說明在 Trusted Cloud 主控台的 Cloud Storage 部分執行動作時所需的 Identity and Access Management (IAM) 權限。IAM 權限會組合為角色，您可以將角色授予使用者和群組。

使用 Trusted Cloud 控制台所需的常用權限

使用Trusted Cloud 控制台時，有一些常用的必要權限：

所有與值區相關的操作都應包含專案層級的 resourcemanager.projects.get 和 storage.buckets.list 權限。

具備這些權限，您就能存取「值區」頁面，以建立、查看及更新值區。
凡是在要求中納入計費專案的操作，都必須具備指定專案的 serviceusage.services.use 權限。

這項權限可確保您有權向您指定的專案收費。舉例來說，存取啟用了要求者付費功能的值區時，就會使用包含計費專案的操作。

特定操作所需的權限

動作	必要的 IAM 權限 (除了上方列出的權限外)
建立值區	`storage.buckets.create` `storage.buckets.enableObjectRetention`¹
將標籤附加至 bucket	`storage.buckets.createTagBinding`
列出或篩選值區	不需其他權限
列出直接附加至值區的標記	`storage.buckets.listTagBindings`
列出繼承的標記和直接附加至值區的標記	`storage.buckets.listEffectiveTags`
查看下列 bucket 資訊：位置、複製狀態和預設儲存空間級別保護措施設定值區標籤物件生命週期政策禁止公開存取狀態統一值區層級存取權狀態自動調整級別狀態網站設定	`storage.buckets.get`
變更下列 bucket 設定：保護措施設定預設儲存空間級別值區標籤物件生命週期政策統一值區層級存取權狀態自動調整級別狀態網站設定物件保留設定	`storage.buckets.get` `storage.buckets.update` `storage.buckets.enableObjectRetention`¹
啟用「要求者付費功能」功能	`storage.buckets.get` `storage.buckets.update`
停用「要求者付費功能」功能	`storage.buckets.get` `storage.buckets.update` `resourcemanager.projects.createBillingAssignment`³
變更「禁止公開存取」設定	`storage.buckets.get` `storage.buckets.setIamPolicy` `storage.buckets.update`
變更值區權限	`storage.buckets.get` `storage.buckets.getIamPolicy` `storage.buckets.setIamPolicy` `storage.buckets.update`
刪除空白值區	`storage.buckets.delete` `storage.objects.list`
刪除非空白值區	`storage.buckets.delete` `storage.objects.delete` `storage.objects.list`
從值區卸離標記	`storage.buckets.deleteTagBinding`
建立資料夾	`storage.folders.create`
取得資料夾的中繼資料	`storage.folders.get`
列出資料夾	`storage.folders.list`
重新命名資料夾	`storage.folders.rename` (用於來源值區) `storage.folders.create` (用於目的地值區)
刪除資料夾	`storage.folders.delete`
上傳物件或物件資料夾	`storage.objects.create` `storage.objects.delete`² `storage.objects.setRetention`⁴
查看物件的詳細資料⁵	`storage.objects.get` `storage.objects.list`
查看物件的版本記錄	`storage.objects.get` `storage.objects.list`
下載物件⁵或物件資料夾	`storage.objects.get` `storage.objects.list`
列出值區中的物件，包括非目前物件和虛刪除物件	`storage.objects.list`
判斷物件是否可公開存取⁵	`storage.buckets.getIamPolicy` `storage.objects.list` `storage.objects.getIamPolicy`⁷
重新命名物件或還原物件的非現行版本	`storage.objects.create` `storage.objects.delete` `storage.objects.get` `storage.objects.list` `storage.objects.getIamPolicy`⁷ `storage.objects.setIamPolicy`⁷
複製物件	`storage.objects.create` (用於目的地值區) `storage.objects.delete`² (用於目的地值區) `storage.objects.get` (用於來源物件) `storage.objects.list` (用於來源和目的地值區) `storage.objects.getIamPolicy`^7,8 (用於來源物件) `storage.objects.setIamPolicy`^7,8 (用於目的地值區)
移動物件	`storage.objects.create` (用於目的地值區) `storage.objects.delete`² (用於目的地值區) `storage.objects.delete` (用於來源值區) `storage.objects.get` (用於來源物件) `storage.objects.list` (用於來源和目的地值區) `storage.objects.getIamPolicy`^7,8 (用於來源物件) `storage.objects.setIamPolicy`^7,8 (用於目的地值區)
查看物件的存取權限^5,6	`storage.objects.get` `storage.objects.list` `storage.objects.getIamPolicy`
編輯物件的存取權限^5,6	`storage.objects.get` `storage.objects.list` `storage.objects.getIamPolicy` `storage.objects.setIamPolicy` `storage.objects.update`
編輯物件的中繼資料⁵	`storage.objects.get` `storage.objects.list` `storage.objects.update`
新增、變更或移除物件的保留設定⁵	`storage.objects.get` `storage.objects.list` `storage.objects.update` `storage.objects.setRetention` `storage.objects.overrideUnlockedRetention`⁹
新增或移除物件的訴訟保留⁵	`storage.objects.get` `storage.objects.list` `storage.objects.update`
刪除物件⁵、物件的非現行版本或物件資料夾	`storage.objects.delete` `storage.objects.list`
還原已刪除的物件	`storage.objects.create` `storage.objects.delete`² `storage.objects.list` `storage.objects.restore`
大量還原已刪除的物件	`storage.objects.create` `storage.objects.delete`¹⁰ `storage.objects.restore` `storage.buckets.restore` `storage.objects.setIamPolicy`⁷^、11
查看專案的 Cloud Storage 服務代理人名稱	`resourcemanager.projects.get`
使用 Anywhere Cache 建立快取	`storage.anywhereCaches.create`
使用 Anywhere Cache 列出快取	`storage.anywhereCaches.list`
使用 Anywhere Cache 更新快取	`storage.anywhereCaches.update`
使用 Anywhere Cache 暫停快取	`storage.anywhereCaches.pause`
使用 Anywhere Cache 恢復快取	`storage.anywhereCaches.resume`
使用 Anywhere Cache 取得快取的中繼資料	`storage.anywhereCaches.get`
使用 Anywhere Cache 停用快取	`storage.anywhereCaches.disable`

¹只有在啟用值區以支援物件保留設定時，才需要這項權限。

²只有在目標值區中已有同名物件時，才需要這項權限。

³只有在您的要求中未包含計費專案時，才需要這項權限。詳情請參閱「要求者付費」功能的使用及存取需求條件。

⁴只有在上傳物件時新增保留設定，才需要這項權限。

⁵如果該操作是在相關物件的詳細資料頁面上執行，且您並非從值區的物件總清單存取詳細資料頁面，則不需要 storage.objects.list。

⁶這項操作不適用於已啟用統一值區層級存取權的值區。

⁷此權限不適用於已啟用統一值區層級存取權的值區。

⁸只有在保留目前套用至來源物件的權限時，才需要這項權限。

⁹變更現有保留設定時，如果設定遭到鎖定、縮減或移除，就必須具備這項權限。

¹⁰只有在目標值區中已有同名物件，且您選取「覆寫即時物件」選項時，才需要這項權限。

¹¹ 只有在選取「複製來源存取控管機制 (ACL)」選項時，才需要這項權限。

後續步驟

如需查看 Cloud IAM 角色及其相關權限的清單，請參閱適用於 Cloud Storage 的 IAM 角色一文。
在專案和 bucket 層級授予 IAM 角色。